По сообщения Avast, база данных, позволяющая контролировать системы, зараженные вредоносным установщиком CCleaner, была уничтожена 12 сентября. База данных MariaDB была создана 11 августа в рамках подготовки к выпуску CCleaner, снабженного вредоносным кодом. Исследователи выяснили, что из-за нехватки места на сервере злоумышленники полностью ее уничтожили.

Напомним, что атака на популярный инструмент очистки и оптимизации имела место в начале июля, незадолго до того, как Avast купил Piriform, производителя CCleaner. Хакеры смогли проникнуть в системы компании и изменить 32-разрядные версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191, добавив к ним бэкдор-код.

Код был разработан для сбора информации о пользователях и отправки ее на сервер, контролируемый злоумышленниками, этот сервер был выведен из строя 15 сентября. В результате этого инцидента пострадали 2,27 миллиона пользователей.

Исследователи в области безопасности, изучающие атаку, обнаружили на командном сервере (C&C) базу данных, содержащую информацию о количестве зараженных компьютеров. Из этой информации можно сделать вывод, что 700 000 машин отправили сообщения в командный центр, а повторно атакованы были, по меньшей мере, 20 компьютеров, принадлежащих, по словам экспертов, 8 крупным организациям.

Теперь Avast сообщает, что база данных, содержащая информацию о зараженных компьютерах, была удалена. Также специалисты отметили, что во втором этапе атаки используется установщик GeeSetup_x86.dll, который может извлекать различные вредоносные программы в зависимости от архитектуры зараженной системы.